2020年2月24日-28日，網絡安全行業盛會RSA Conference在舊金山拉開帷幕。在RSAC官方宣布入選今年創新沙盒十強初創公司中，綠盟君已經為大家介紹過了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY、BluBracket、Vulcan Cyber八家廠商，今天為大家介紹的是：Securiti.ai。

一、公司介紹

Securiti.ai成立于2018年11月，總部位于美國加利福尼亞州的硅谷地區。當前融資總額達到8100萬美元，最近一次是由General Catalyst領投，Mayfield參與的5000萬美元B輪融資。其創始人兼CEO是Rehan Jalil，擁有豐富的網絡安全從事經驗和管理背景，先后在Elastica和Bluecoat擔任CEO，后在賽門鐵克云安全部門擔任高級副總裁。公司致力于實現隱私合規的自動化，利用AI和People Data Graph等先進技術，使得隱私合規遵循從傳統的繁瑣手工操作到一站式的自動化成為可能，以幫助企業快速滿足GDPR和CCPA等法律法規。

2020年1月1日，CCPA(《加州消費者隱私法案》)正式生效，如何快速地且有條不紊地滿足該隱私法案，這是眾多硅谷巨頭(Google、Facebook和Apple等)以及中小企業的一大痛點問題。在此背景下，Securiti.ai憑借應對方案以及技術實力入選2020年RSA大會創新沙盒的前十強。值得一提的是，BigID作為隱私數據治理(遵循GDPR)，在2018年的創新沙盒奪得冠軍;Securiti.ai作為一家同樣主打隱私合規產品(可遵循CCPA)的創新公司，是否能贏得今年RSA創新沙盒的冠軍?值得期待!

二、背景介紹

為了保障公民的個人信息與隱私安全，全球掀起了隱私法規的立法熱潮。2018年5月25日，歐盟正式頒布《通用數據保護條例》(General Data Protection Regulation，GDPR)用以保護歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。受GDPR 影響，全球各個國家推出了類似的個人信息保護法規，如巴西LGPD、印度PDPB、泰國PDPA等。我國于2017年6月1日正式實施《網絡安全法》，并于去年發布《數據安全管理辦法(征求意見稿)》，對個人信息安全提出諸多規定和約束。2019年10月，美國加州州長正式簽署《加州消費者隱私保護法》(California Consumer Privacy Act，CCPA)的最終法案，于今年1月1日正式生效。

從GDPR的執法來看，違反的罰款代價是高昂的。例如，法國于2019年1月份罰款Google公司5000萬歐元，原因是Google的隱私條款的設計非常難以被用戶理解，尤其是在個人化廣告推薦上;英國在2019年7月份分別對英航和萬豪集團分別開出1.83億英鎊和9900萬英鎊的罰單，原因均為企業數據防護措施不力導致了數據泄露;德國對網絡公司Delivery Hero處以20萬歐元罰款，原因是客戶要求刪除個人數據時，卻沒有及時性應答。對于CCPA的實施，據IAPP和OneTrust的CCPA Readiness調查結果顯示，74%的受訪者認為他們的雇主應該遵循CCPA，但遺憾的是，僅大約2%的受訪者認為他們的企業已經完全做好了應對CCPA的準備。

這些隱私法規迫使企業對以下一些問題進行思考：存儲那些消費者的個人數據?它們分布在那些系統中?是否滿足立即響應客戶的數據訪問權、更新權和刪除權等權利?如何解決跨多個應用程序與第三方共享的數據問題?對于多數企業來說，這是一系列的合規性痛點問題。Securiti.ai正抓住這一普遍訴求，并且利用AI和People Data Graph等先進技術，使得繁瑣的處理流程變得更加自動化。

三、公司產品與方案

1. 產品介紹

Securiti.ai的產品稱為Privaci，公司CEO Jalil將其描述為“PrivacyOps”解決方案，并親自寫一本書對產品功能和架構思想進行介紹[6]。Jalil 將PrivacyOps概括為它是哲學、實踐、跨功能協作、自動化和業務流程的組合，它提高了企業組織可靠且快速地遵守眾多全球隱私法規的能力。通俗地說，傳統隱私合規性的請求處理是手動的、緩慢的，而PrivacyOps可實現批量地、自動化地處理規性請求，并可定期評估與檢測合規性風險，能夠幫助企業快速滿足全球隱私法規遵循的要求。

公司官網中展示了PrivacyOps的五個子產品：Data Fulfillment Automation、PD Linking Automation、Assessment Automation、 Third Party Risk Assessment和Consent Lifecycle。為了更好地理解，綠盟君將五種產品歸為三類：前兩者為應對消費者數據權利(訪問權、修改權和更新權等)請求響應的合規處理產品、后兩者是合規性風險評估類產品、最后一個為數據授權處理的合規性檢查類產品。

(1) Data Fulfillment Automation

CCPA和GDPR等隱私法規賦予數據主體(消費者)數據訪問、修改和刪除等權利，比如在CCPA的1798.100條款中，規定“企業收到消費者訪問個人信息之請求后，應當立即通過郵寄或電子等方式向消費者披露和傳送所要求的數據”;GDPR也有類似規定，要求企業必須在一個月內對所有請求進行響應，若請求過于復雜，可延長到兩個月。該合規場景可解讀為企業需提供兩點功能：

• 為消費者提供數據權利請求的窗口;
• 收到請求立即或者在規定時間內進行響應。

假設一天有1000個用戶請求，若采取手動操作，查詢相關系統，并手工制作1000個用戶的個人信息數據報告，這個工作量是巨大的，且容易產生操作錯誤。因此亟需一種流程自動化的方法。

Data Fulfillment Automation(數據權利履行自動化)產品可實現消費者數據權利請求-響應的流程自動化處理，并且可生成合規性審查報告。其產品運行流程如下：

• 構建一個或多個動態請求表單并嵌入到客戶的網站中，類似于一個網站插件。通過這個插件，可輕松接受數據主體的請求(Data Subject Request, DSR)。
• 收集DSR請求，并根據用戶的身份創建DSR工作流程。為了避免錯誤處理和欺詐，該過程需驗證用戶的身份。下圖顯示John A. 用戶希望查看網站收集自己那些數據，除數據訪問外，還可對收集的個人數據進行編輯、甚至刪除。

• ??

• DSR工作流程提交給后臺，后臺有機器人助手Auti，可關聯到用戶John A.的數據，幫助完成DSR任務并且同步系統。
• 生成DSR履行的審查報告，以證明遵循隱私合規。

(2) PD Linking Automation

PD Linking Automation(個人數據鏈接自動化)產品通過強大的數據管理能力及People Data Graph技術，可將企業在不同時間、不同系統收集和存儲的某個數據主體所有相關數據進行關聯，比如數據主體的IP地址、身份證號、駕駛證號、照片、出生年月、住址和收入等個人信息。

??

根據PrivacyOps book的詳細介紹，該關聯技術的應用產品主要有以下三種應用場景：

• 輔助前面產品Data Fulfillment Automation，生成個人數據的關聯報告。比如，用戶向比如Google提出訪問個人信息的請求后，Google有多個產品與系統，在瀏覽器服務器記錄用戶注冊信息和Cookie信息，另外在郵件服務器中也記錄了同一用戶的個人信息，這兩個系統存儲的同一個數據主體的信息，但多數企業不會將兩個系統進行關聯。但GDPR和CCPA要求企業向消費者披露數據主體的相關個人信息，因此關聯技術十分重要;
• 跨國企業的個人數據的治理與可視化。跨國企業的數據存儲、處理服務器分布全球各地，若將個人信息主體的信息進行關聯，并關聯到用戶的國籍或居住地(歐盟、美國加州)，可視化獲得數據分布的世界熱圖，更好地洞察不同國家地區法規的合規性風險;
• 數據泄露后的及時通知受影響的數據主體。例如，對于個人信息數據庫(假如無郵件、電話等聯系信息)的泄露，通過關聯郵件、電話等信息，可快速通知泄露的用戶，滿足合規性要求。

通過向聊天機器人Auti提問，可觸發操作流程實現自動化執行，并生成宏觀的個人數據地圖和審查報告。

??

(3) Assessment Automation

Assessment Automation(內部評估)可為企業內部的系統進行隱私風險評估。產品系統內置不同的合規性模板，如GDPR、CCPA，每一種合規性模板對應各種合規點檢查列表和問題。為了高效地完成隱私風險的評估，產品提供了一個協作平臺，通過它內部多位安全專家可分工對問題進行檢查和回復。協作平臺收集所有的輸入和檢查，最終生成評估報告。一旦報告生成，企業可選擇與第三方組織或消費者分享，以證明隱私風險控制能力。

??

(4) Third Party Risk Assessment

在GDPR中，有兩個重要的數據處理組織：數據控制者(Controllers)和數據處理者(Data Processor)，數據控制者是數據主體的第一聯系人，負責數據的收集與處理，數據處理者在多數場景下是第三方組織。例如，一家零售機構(數據控制者)采集用戶信息，它租賃亞馬遜云服務器(數據處理)進行數據的存儲和計算。按照GDPR法規，零售‘機構的法規責任更大，必須慎重挑選挑選數據處理者，以確保它由能力通過適當的技術和組織措施以滿足GDPR的要求。CCPA也有類似的規定，當企業與第三方進行個人信息的交互時，第三方發生違發數據行為時，當事企業也承擔一定法規責任。特別在大型公司，擁有多個合作商，數據交互和流通越來越大，為了降低法規風險，不僅需保證內部滿足隱私合規，也需確保合作的第三方是可信任的，隱私風險控制水平達到安全級別。

Third Party Risk Assessment(第三方組織的風險評估)很好解決以上的一個痛點，它可以同時邀請與企業合作的多個第三方組織，共同接入評估平臺進行隱私風險評估，它盡可能利用可獲取的數據，包括各個網站的隱私聲明(privacy statements)，第三方組織安全專家提供合規性證明和檢查文件。該產品在生成評估報告同時，也提供了一個統一的隱私風險評分服務。

??

(5) Consent Lifecycle

Consent Lifecycle(許可生命周期管理)產品可應用與網站的Cookie的數據收集，征求用戶的同意，對標多個GDPR、CCPA等法規的數據處理與利用的公開透明原則。首先，提供服務的企業需在自身網站中部署Consent Lifecycle相關插件，如下圖所示，它提供了用戶授權設置的一個窗口。然后，用戶可在設置盤中授權網站的Cookie信息授權應用于那些目的，比如數據分析、廣告推薦、社交發現，提供給第三方組織C1企業或C2企業等。那么，如果用戶沒有授權Cookie信息用于廣告，而服務企業卻在后臺的廣告推薦系統利用了該Cookie信息，那么Consent Lifecycle將監控到這一異常行為，在后臺觸發告警行為，以通知企業停止違反法規的風險行為。

??

2. 合規性方案

前文介紹的公司的五個產品，它們進行組合可對標到CCPA(美國加州)、GDPR(歐盟)和LGPD(巴西)隱私合規條款，公司的官網分別提供三種隱私法規遵循的解決方案。下面以CCPA的解決方案為例，對產品功能與對標合規點進行簡單介紹，詳細合規功能點可訪問官網。

??

數據主體請求DSR自動化處理

CCPA規定消費者具有數據訪問、更新、刪除的權利。當用戶提出合理的權利訴求，PrivacyOps方案可自動化收集、接收以及處理數據主體請求(Data Subject Request, DSR)，并自動生成DSR報告。具體對標CCPA的1798.100、1798.105、1798.110、1798.115的數據訪問權相關條款。這些規定了企業收到消費者訪問個人信息之請求后，應當立即通過郵寄或電子等方式向消費者披露和傳送所要求的數據，否則視為違反法規。

??

隱私風險評估

通過使用協作的、準備就緒的PrivacyOps評估系統來衡量企業組織的隱私合規性，識別差距并處理風險，以保持符合CCPA監管要求。具體對標CCPA的 1798.135.(1)(2)相關條款，要在互聯網主頁或隱私政策的醒目清晰位置，提供一個命名為“不得出售我的個人信息”，消費者有選擇不出售個人信息數據的權利。

??

個人數據自動鏈接

發現所有系統中存儲的個人信息，并將其鏈接到個人數據的所有者。通過身份可視化數據蔓延，并基于受試者居住地識別合規風險。CCPA監管的是處理加州居民個人數據的營利性實體，即美國加州外的其他州、甚至國外的跨國企業處理加州居民的用戶數據，將受到相關法規風險影響。該功能可視化展示宏觀的風險分布位置，對標CCPA的治理和監管要求。

除以上合規要求外，PrivacyOps方案還可滿足用戶選擇不出售數據的權利、默認不選擇、檢測隱私說明等合規性要求。

四、總結

歐盟GDPR在2018 年正式實施，2019年進入全面執法，多張巨額的企業罰單相繼被開出。美國加州隱私法規CCPA在今年1月1月已經生效，與GDPR一樣，CCPA同樣是一項十分嚴格的隱私法規，賦予了消費者更多數據權利，比如訪問權、修改權、刪除權和不出售數據給第三方等，同時提出了企業履行的義務條款。比如，企業收到消費者要求訪問個人信息的請求后，應立即采取措施(比如信件或電子方式)向消費者免費披露和提供本節所要求的個人信息(GDPR也有類似的條款)。如何快速地滿足遵循CCPA，這是眾多硅谷巨頭(Google、Facebook和Apple等)以及中小企業面臨的一大痛點問題。違反法規意味著罰款與處罰，GDPR罰款的上界是2000萬歐元或者4%全球營業總額，而CCPA可具體到每一個消費者，罰款上限為750美元(同時被1萬人起訴，那么相當于罰款750萬美元)。值得注意的是，GDPR不僅對歐盟，CCPA不僅對美國加州的企業，只要處理歐盟，或者加州的居民的跨國企業，同樣將受到法規的域外監管與約束。

Securiti.ai瞄準了這一個普遍的隱私合規性市場與需求，將繁瑣的合規性遵循變成了智能的、自動化的處理，可滿足企業滿足隱私合規的大部分需求。具體來說，Securiti.ai具有以下亮點與優勢：

• 融資數額8100萬美元是創新沙盒前十強最高的數額 (第二名Obsidian Security為2950萬美元)。僅成立1年多就拿到多家投資機構的基金，這從側面說明公司的發展前景和技術實力;
• 提供的產品較為豐富，官網展示了1年的時間就發布了5種合規性產品。從官網介紹，公司目前擁有130名員工，同時在人員擴充中，開發迭代速度非常快;
• 產品可快速組合為解決方案，目前提供CCPA、GDPR和LGPD(巴西隱私法規)的合規性方案;
• 公司的技術創新能力不可小覷。公司掌握了People Data Graph自主技術，將多個分散的個人信息關聯到同一個數據主體中，在學術稱為“實體識別”問題，這是一個棘手的技術難題，Securiti.ai宣稱可將云、數據庫、大數據系統等異構數據源關聯識別出來，這是一大創新;另外公司利用NLP技術，利用聊天機器人Auti提供友好、不枯燥的處理輔助功能。

Securiti.ai憑借實用的、自動化的合規遵循解決方案、以及不可小覷的創新實力，同時在CCPA今年實施的熱點背景下，綠盟君看好Securiti.ai，讓我們拭目以待!

· 參考鏈接 ·

[1] https://www.crunchbase.com/organization/securiti-ai#section-overview

[2] SECURITI.ai Selected as Finalist for RSA Conference 2020 Innovation Sandbox Contest：

??https://privaci.ai/press-release/securiti-ai-selected-as-finalist-for-rsa-conference-2020-innovation-sandbox-contest/??

[3] Securiti.ai Homepage：https://securiti.ai/

[4] 2019網絡安全觀察：

??http://blog.nsfocus.net/wp-content/uploads/2020/01/2019-Cybersecurity-Insights.pdf??

[5] https://iapp.org/resources/article/ccpa-readiness-survey/

[6] PrivacyOps book：https://www.privaci.ai/request-book